HPE Aruba Instant 与访客 WiFi：配合 Purple 设置 Captive Portal

欢迎收看关于将 HPE Aruba ClearPass 与 Purple WiFi 平台集成的技术简报。我是今天的主持人，今天我们将深入探讨将 ClearPass Policy Manager 强大的网络准入控制与 Purple 行业领先的访客 WiFi 和分析功能相结合的架构、部署策略和运营优势。 对于管理大型场所（无论是庞大的零售连锁店、高密度体育场还是复杂的医疗机构园区）的 IT 经理、网络架构师和 CTO 而言，提供安全、隔离且具洞察力的无线接入至关重要。ClearPass 在针对企业设备的上下文感知策略执行和 802.1X 认证方面表现斐然。然而，在访客引导、Captive Portal 以及从访客数据中提取可操作的营销分析方面，Purple 是无可争议的领导者。 我们今天解答的核心问题是：如何配置 ClearPass 以使用 Purple 作为 Captive Portal，同时保留 ClearPass 用于 NAC 和基于角色的动态 VLAN 分配？让我们深入探讨。 首先，我们来确立架构。在高级别上，该集成依赖于标准 RADIUS 协议和 HTTP 重定向机制。您的 Aruba 移动控制器或 Instant Access Points 广播访客 SSID。当未认证的设备连接时，控制器会拦截 HTTP 流量并将用户的浏览器重定向到 Purple Captive Portal。这一重定向是必须正确处理的第一项关键任务。 现在，用户通过 Purple 进行认证。这可能是通过 Facebook 或 Google 进行的社交登录、自定义邮箱和密码表单，甚至是 OpenRoaming - 在 Connect 许可下，Purple 将充当免费的身份提供商。一旦 Purple 验证了用户，它就会通过链条向控制器发送回一个 RADIUS Access-Accept 消息，随后控制器授予网络访问权限。 但这就是 ClearPass 变得不可或缺的地方。您并不是让 Aruba 控制器直接与 Purple 的 RADIUS 服务器通信，而是将 ClearPass 作为 RADIUS 代理插入其中间。控制器将所有 RADIUS 请求发送到 ClearPass。ClearPass 评估该请求，如果符合您的访客服务路由策略，则将其转发给 Purple 的云端 RADIUS 服务器。Purple 做出响应，ClearPass 将该响应传回控制器，但至关重要的是，它可以在执行此操作之前附加自己的策略属性。 这种代理架构为您带来了两全其美的效果。ClearPass 保留您网络上每一次认证事件（包括企业和访客）的完整审计日志。您可获得安全运营的单一视图。而 Purple 则负责面向用户的体验和分析，您无需替换现有的 NAC 投资。 让我们谈谈动态 VLAN 分配，因为这是功能变得非常强大之处 - 也是大多数部署如果不小心就会遇到麻烦的地方。 ClearPass 使用称为角色（Roles）和执行配置文件（Enforcement Profiles）的概念。当收到身份验证请求时，ClearPass 会评估上下文：用户是谁、他们使用什么设备、当前是什么时间以及他们从什么位置进行连接。基于这些因素，它会分配一个角色。对于普通访客，可能是 ROLE_GUEST。对于 VIP，可能是 ROLE_VIP。对于承包商，则是 ROLE_CONTRACTOR。 然后，该角色会被映射到一个执行配置文件，该文件定义了要返回给 Aruba 控制器的特定 RADIUS 属性。这里最重要的属性是 Aruba-User-Role 厂商特定属性（VSA）。这会准确地告知控制器在无线端将用户置于哪个角色。 在 Aruba 控制器上，每个角色都映射到一个特定的 VLAN 和一组防火墙策略。因此，ROLE_GUEST 映射到 VLAN 20，仅具有互联网访问权限且带宽限制为 10 Mbps。ROLE_VIP 映射到 VLAN 40，限制为 50 Mbps。ROLE_IOT 映射到 VLAN 30，这是一个完全隔离的网络段，没有互联网访问权限，仅为智能设备提供本地连接。 这种隔离不仅是良好的实践 - 它更是一项合规性要求。根据 PCI-DSS（PCI DSS），任何接触持卡人数据的网络都必须与访客网络隔离。根据 GDPR，您需要能够证明通过访客门户收集的个人数据得到了妥善处理，并且访客流量无法穿越您的企业基础设施。 现在，让我为您介绍一个真实世界的场景：一家在多个物业拥有 500 间客房的大型连锁酒店。他们每个站点都部署了 Aruba 控制器，集中部署了 ClearPass，并且他们希望为访客 WiFi 推出 Purple。 部署架构如下。每个站点有两个 SSID：Hotel_Corp 和 Hotel_Guest。Hotel_Corp 使用具有证书的 802.1X，通过 ClearPass 针对 Active Directory 进行身份验证。Hotel_Guest 是一个开放的 SSID，会触发 Purple 访客门户（Captive Portal）。 在 ClearPass 中，他们创建了两个服务。服务一匹配 Hotel_Corp 并本地处理 802.1X 身份验证。服务二匹配 Hotel_Guest 并使用 RADIUS 路由策略将请求代理到 Purple。服务二的执行策略返回 guest-authenticated 的 Aruba-User-Role，该角色映射到控制器上的 VLAN 20。 对于 IoT 设备（智能电视、温控器、门锁），它们使用第三个 SSID：Hotel_IoT，并采用基于 MAC 的身份验证。ClearPass 使用设备的 OUI 对其进行识别并分配 ROLE_IOT，将其放入 VLAN 30 中。 结果如何？员工获得完整的企业访问权限。访客通过社交登录和营销选择加入获得品牌化、互动式的门户体验。IoT 设备被隔离。IT 团队在 ClearPass 的 Access Tracker 中对所有这三种用户类型拥有完整的可见性。 现在让我们谈谈陷阱，因为如果您没有做好准备，有几个陷阱会给您带来麻烦。 第一，围墙花园（walled garden）。这是 Captive Portal 故障最常见的原因。在设备通过身份验证之前，Aruba 控制器仅允许流量访问预定义的网络地址列表，即围墙花园。如果 Purple 的门户 URL、其后端 API 端点以及社交登录提供商的域名不在该列表中，门户将无法加载。您需要主动维护此列表。Facebook 和 Google 等社交登录提供商会定期更改其 IP 范围和 CDN 域名。请将围墙花园视为一个动态的配置项。 第二，RADIUS 超时。大多数 Aruba 控制器上的默认 RADIUS 超时时间为三秒。在代理架构中，请求从 AP 发送到控制器，再到 ClearPass，然后跨越互联网到达 Purple 的云端 RADIUS，最后返回。在拥挤的网络中，该往返时间很容易超过三秒。请将您的超时时间增加到至少十秒，并配置重试逻辑。 第三，共享密钥不匹配。这会导致难以诊断的静默失败。Aruba 控制器与 ClearPass 之间的共享密钥必须完全一致。ClearPass 与 Purple 的 RADIUS 服务器之间的共享密钥也必须完全一致。仅一个字符的差异就会导致身份验证失败，且不会向终端用户显示任何有用的错误消息。请务必仔细检查这些设置。 第四，角色名称区分大小写。ClearPass 返回的 Aruba-User-Role VSA 必须与 Aruba 控制器上定义的角色名称完全匹配（包括大小写）。如果 ClearPass 返回 guest-authenticated，但控制器上定义的是 Guest-Authenticated，用户将退回到默认角色，这通常是没有互联网访问权限的登录角色。 第五，RADIUS 计费。许多部署正确配置了身份验证代理，但忘记了同时代理计费。Purple 使用 RADIUS 计费数据来跟踪会话持续时间、数据使用情况并生成其分析仪表板。如果计费数据没有传输到 Purple，您的数据分析将不完整。 接下来进入快速问答环节。 我可以使用单个 SSID 同时支持员工和访客吗？可以。配置 ClearPass 在同一个 SSID 上同时处理 802.1X 和 MAC-Auth。使用服务规则来区分流量类型并进行相应路由。这管理起来更复杂，但可以减少 SSID 的数量。 Purple 支持授权变更（CoA）吗？支持。CoA 允许控制器动态更新用户的会话，而无需他们重新连接。这对于限时访问或带宽升级非常有用。 我可以在 Aruba Instant 上使用此集成，而不是完整的 Mobility Controller 吗？可以，Aruba Instant 支持外部 RADIUS 服务器和 Captive Portal 重定向。配置。虽然配置略有不同，但原理完全相同。 这种集成是否支持 WPA3？是的。个人网络支持 WPA3-SAE，而 802.1X 支持 WPA3-Enterprise。对于使用 captive portals 的访客网络，通常的选择是 WPA3-SAE 或采用机会性无线加密（Opportunistic Wireless Encryption）的开放式 SSID。 总结今天的简报。ClearPass 与 Purple 的集成采用的是 RADIUS 代理架构。ClearPass 仍然是您所有网络访问的中央策略决策点。Purple 负责面向访客的体验和分析。Aruba 控制器通过动态 VLAN 分配来执行生成的策略。三个最关键的配置要素是围墙花园（walled garden）、RADIUS 超时和角色名称一致性。做好这些，您就拥有了一个强健、合规且具有商业价值的访客 WiFi 部署。 感谢您的收听。如果您想进一步了解，请访问 purple.ai，与解决方案架构师畅谈您的具体部署。